Chez Julie Desk, nous prenons la sécurité très au sérieux. Nous avons donc implémenté des mesures pour protéger vos données conformément au RGPD.
Pour en savoir plus sur notre engagement de mise en conformité au RGPD, veuillez consulter notre Politique de confidentialité.
Cette page recense les informations le plus fréquemment demandées par nos clients. Si vous n’avez pas la réponse à vos interrogations ou souhaitez obtenir des informations complémentaires, merci de prendre contact avec nous.
Tables des matières
-
- Certifications
- Datacenters
- Centre de Supervision
- Continuité de service
- Echanges de données et chiffrement
- Sécurité des systèmes
- Mise à jour
- Monitoring
- Gestion des incidents
- Sous-traitants
- Gestion des ressources humaines
- Authentification
- Audit & Tests
- Transparence
Certifications
Le service Julie Desk est en cours de préparation de la certification ISO 27001.
Datacenters
Les datacenters utilisés par Julie Desk sont gérés par un sous-traitant.
| Certifications |
Les serveurs Julie Desk sont hébergés sur des infrastructures respectant les normes internationales ISO 27001, SOC 1 et 2 ainsi que PCI-DSS niveau 1. |
| Redondance |
Tous les serveurs sont alimentés avec 2 accès réseaux indépendants. Des générateurs de secours assurent l’alimentation en cas de coupure électrique. Les datacenters sont eux même alimentés avec au moins 2 accès réseaux et 2 lignes électriques. |
| Sécurité sur site |
Accès par badge, vidéosurveillance 24/7, détection de fumée et présence de personnel technique 24/7. |
| Localisation |
Les datacenters sont localisés en France et sont gérés par OVH. |
| Type d’hébergement |
Les serveurs, IP et stockages utilisés pour l’hébergement sont dédiés à Julie Desk. Nous utilisons des solutions de virtualisation. |
| Service Level Agreement (SLA) |
Notre contrat avec notre hébergeur inclus des SLA qui s’appliquent dès 10 minutes d’indisponibilité. Un système de monitoring automatique est également en place pour détecter les incidents et déclencher le remplacement des ressources en panne. |
Centre de Supervision
Un centre de supervision est utilisé pour la supervision des requêtes envoyées au service. Ce centre est géré par un sous-traitant.
| Ressources dédiées |
Les ressources suivantes sont dédiées à Julie Desk : salle, postes de travail, équipements réseau (y compris firewall), équipes. |
| Accès physique |
L’accès à la salle dédiée requiert un accès biométrique. De la vidéosurveillance est en place 24/7. |
| Restrictions logiques |
Les accès sont limités aux stricts besoins de supervision (pas de compte administrateur sur les postes, désactivation des ports USB, filtrage des accès internet externes, accès uniquement aux requêtes de rendez-vous en cours d’organisation). L’accès aux applications Julie Desk requiert l’utilisation d’un VPN site-to-site accessible uniquement depuis la salle dédiée. |
Continuité de service
| Redondance |
Les services sont répartis sur plusieurs serveurs et stockages physiques présents dans des salles différentes. Une solution de haute-disponibilité est en place pour garantir la continuité de service en cas de défaillance d’un élément. |
| Sauvegardes |
Les données du service sont sauvegardées tous les jours, semaine et mois. La durée maximum de rétention des sauvegardes est de 1 mois. |
| Plan de continuité |
Un plan de continuité a été élaboré pour limiter le temps de reprise d’activité en cas d’incident de disponibilité majeur. |
| Recovery Point Objective (RPO) |
24h |
| Recovery Time Objective (RTO) |
24h |
Echanges de données et chiffrement
| Sollicitation du service |
Les demandes de prise de rendez-vous sont envoyées par email vers une adresse email générique hébergée sur le système d’information Julie Desk ou une adresse email dédiée hébergée sur le système d’information du client. La sécurité de ces échanges est la même que celle d’un échange classique par email. |
| Synchronisation des données |
Le système se synchronise en téléchargeant les emails envoyés au service et les éléments de calendrier en se connectant aux systèmes d’information des clients. La communication est uniquement dans le sens Julie Desk => Client et requiert l’utilisation du protocole HTTPS. |
| Echanges inter-serveurs |
Le système est réparti entre plusieurs services et serveurs. Les échanges de données inter-serveurs sont chiffrés et utilisent, en fonction des cas, les protocoles SSH, SSL ou HTTPS. |
| Stockage |
Les données du service sont chiffrées en utilisant le protocole AES-256. Des salt et initialization vector sont générés aléatoirement et différents pour chaque entrée stockée en base de données. |
| Supervision humaine |
Les accès de supervision humaine requièrent un accès VPN et l’utilisation de HTTPS. |
Sécurité des systèmes
| Architecture |
Le service repose sur une architecture multi-tiers et multi-zones de sécurité. Chaque serveur est dédié à une tâche précise. Les communications inter-zone sont filtrées par des firewall. |
| Antivirus |
Un antivirus est déployé sur l’infrastructure. |
| Protection DDoS |
Un système de mitigation des attaques DDoS est en place. |
Mise à jour
| Applications |
Les applications sont développées en interne et sont mises à jour suivant un processus de déploiement continu (plusieurs fois par jour). Chaque modification est testée (automatiquement et manuellement) sur un environnement différent de la production avant déploiement. |
| Systèmes |
Les systèmes sont mis à jour au minimum une fois par mois en condition normale, dès que possible en cas de publication de failles critiques. |
Monitoring
| Détection d’intrusion |
Les logs de l’infrastructure sont envoyés en temps réel vers un serveur centralisé et un Security Incident Event Manager (SIEM) permettant de corréler les événements et alerter. |
| Exceptions |
Les exceptions se produisant lors de l’exécution des applications génèrent des alertes. |
| Utilisation des ressources |
Des métriques d’utilisation des ressources sont suivies afin de prévoir la capacité future du système. |
Gestion des incidents
| Détection |
Des alertes et suivi de métriques ont été configurées pour détecter les incidents. |
| Procédure |
Une procédure de gestion des incidents a été préparée. |
| Notifications |
Les clients concernés sont notifiés dès que possible de la survenance d’un incident de sécurité. La notification des autorités compétentes y compris les autorités de protection des données a été inclus dans la procédure de gestion des incidents. |
Sous-traitants
| Vérification des sous-traitants |
Nous effectuons une due diligence des sous-traitants avec lesquels nous travaillons afin de vérifier qu’ils respectent nos exigences de sécurité. Cela inclut notamment des vérifications de certifications, de conformité aux lois applicables (ex. RGPD européen) et de gestion de la sécurité. |
| Sous-traitants pour le service |
Nous utilisons des sous-traitants pour assurer l’hébergement et la supervision humaine du service de prise de rendez-vous. Tout changement de sous-traitant est notifié aux clients. |
| Autres sous-traitants |
Nous utilisons d’autres sous-traitants notamment pour la gestion de la relation commerciale avec nos clients (comme CRM, système de ticketting support, emailing) ou la gestion de la sécurité (consultants externes, analyse automatisée, alerting). |
Gestion des ressources humaines
| Recrutement |
Des procédures de vérification des compétences, de l’identité et des références des candidats ont été mis en place dans les processus de recrutement. |
| Contrats de travail |
Tous les contrats de travail incluent des clauses de confidentialité. |
| Charte d’utilisation des systèmes |
Une charte d’utilisation des systèmes informatique a été mise en place. |
| Sensibilisation |
Des procédures de sensibilisation à la sécurité et au traitement des données personnelles ont été mises en place. Sensibilisation initiale à l’arrivée puis sensibilisation hebdomadaire (5-10 min). |
Authentification
| Accès |
Les accès utilisateurs sont nominatifs. |
| Single-sign on (SSO) |
Un système de SSO a été déployé pour les applications internes. |
| 2-factor |
Nous utilisons du 2-factor pour l’authentification aux applications et systèmes internes (VPN avec certificat personnel et One Time Password) |
| Mots de passe |
Nous n’autorisons pas l’utilisation de mot de passe inférieur à 8 caractères et ne contenant pas au moins 3 des éléments parmi les suivants : chiffre, minuscule, majuscule, caractères spéciaux. |
| Principle of least privileges |
Le principle of least privileges est appliqué. Les accès ne sont donnés qu’aux personnes qui en ont besoin et uniquement à celles ci. |
| Suppression des accès |
Les accès des employés quittant la société sont supprimés dès leur départ. Lors d’un changement de fonction, les accès qui ne sont plus nécessaires sont révoqués. |
Audit & tests
| Revue des accès |
Tous les 3 mois |
| Test de vulnérabilité |
Tous les 3 mois ou lors de modifications importantes du système |
| Test des sauvegardes |
Tous les 3 mois |
| Test du plan de continuité |
Tous les ans |
| Test du plan de réaction aux incidents |
Tous les ans |
Transparence
| Rapports et documentation |
Nous pouvons fournir des documents complémentaires sur nos process et notre gestion de la sécurité. Cette communication peut nécessiter la signature d’une clause de confidentialité (NDA). Contactez nous pour en savoir plus. |
| Question de sécurité Grands Comptes |
Nous pouvons remplir des questionnaires de sécurité spécifiques dans le cas d’intégration Grands Comptes. Un interlocuteur dédié à la sécurité est alors mis à disposition. Contactez nous pour en savoir plus. |
| Audit |
Le service est auditable par ses clients. Contactez nous pour en savoir plus. |
En savoir plus sur les Conditions Générales d’utilisation , la politique de confidentialité et la politique des cookies.
